2024年10月10日，欧洲理事会正式通过了欧盟第2024/2847号条例，即带有数字元素的产品的横向网络安全要求法规（ 《网络弹性法案》，简称“CRA”）。该法规于2024年11月20日在欧盟官方公报上公布，并计划于2024年12月正式生效，随后将启动为期21个月的过渡期。

CRA法案针对制造商、分销商和进口商，旨在提高带有数字元素的产品的网络安全性。这些产品包括智能手机、笔记本电脑、密码管理器、带有安全功能的智能家居产品（例如智能门锁、安防摄像头或婴儿监控系统）等，即任何直接或间接连接到网络或其他设备的产品。在这些产品进入欧盟内部市场前，CRA通过减少其在整个生命周期中的硬件和软件漏洞，确保其具有更高的安全性。

随着CRA的实施，硬件和软件产品上可见的现有CE标志（源自法语“conformité européenne”，意为“遵守欧洲标准”）也将向消费者证明产品符合CRA的要求，这有助于消费者在购买时能够更加明确地考虑网络安全因素。

产品将根据其网络安全风险被划分为不同等级，如“重要”或“关键”。未被归为“重要”或“关键”的产品也必须遵守CRA规定，制造商、分销商和进口商需确保这一点。

该法规重点关注制造商、分销商和进口商提高产品网络安全性的各种措施：

• 安全更新：产品应提供免费的安全更新，并能够自动下载和安装。制造商需在产品上市前设计并实施相应的流程，以通知和分发更新，尤其是针对消费类产品。同时，用户应有权选择退出自动更新。并非所有数字产品都需要自动更新，例如在专业ICT网络和关键工业环境中使用的产品，自动更新可能会干扰其正常运作。
• 支持期限：产品一旦投放市场，制造商需为产品设定一个支持期限，明确消费者可以预期的产品使用时长。这通常需要考虑用户对产品性质等方面的期望。一般而言，支持期限为五年，但如果产品预期寿命短于五年，则允许更短的支持期限。对于预期有较长支持期限的产品，如路由器和视频编辑工具，制造商应提供相应的支持。
• 单一联系点：制造商应提供一个单一联系点，供消费者联系制造商和报告产品漏洞。这个联系点不能仅仅是AI生成的，如网站聊天机器人。
• 报告漏洞：任何被利用的漏洞或严重影响产品安全的严重事件，都需要通知作为指定协调人的计算机安全事件响应团队（CSIRT）和欧盟网络安全局（ENISA）。
• 违规风险：如果公司未能遵守CRA，可能面临高达其全球年营业额2.5%的罚款，对于在多个市场运营的公司来说，这可能是一个巨大的数额。

该法规的目标是提高欧盟内带有数字元素的产品的网络安全性，保护使用这些产品的欧盟消费者免受网络安全威胁。然而，无论法规如何，消费者在保障安全方面仍将扮演重要角色，他们需要报告漏洞并了解CE标志，以了解该产品是否符合CRA的要求。

作者：Jennifer Rönnerhed，律师，罗思国际

中文校对：林华秋，顾问，路盛律师事务所